Een crypto-investeerder heeft onlangs een pijnlijke les geleerd nadat hij maar liefst 15.079 fwDETH, met een waarde van $35 miljoen, verloor door in een phishing-scam te trappen. Dit werd bevestigd door het blockchainbeveiligingsbedrijf Scam Sniffer.
5 hours ago, someone lost 15,079 fwDETH($35M) after signing a “permit” phishing signature.
pic.twitter.com/YG6KlgWMtv
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) October 11, 2024
De aanval maakt gebruik van een relatief nieuwe functionaliteit binnen de Ethereum-wereld, namelijk de zogenaamde “permit”-optie, geïntroduceerd via Ethereum Improvement Proposal (EIP) 2612. Deze optie stelt gebruikers in staat om zonder gas fees tokens over te dragen door een off-chain handtekening te gebruiken. Hoewel dit proces het versturen van tokens gemakkelijker maakt, opent het ook de deur voor kwaadwillenden.
Normaal gesproken vereisen ERC-20 token transfers twee stappen: eerst het bevestigen van een transactie door een gas fee te betalen, en vervolgens het daadwerkelijk verplaatsen van de tokens. Met de “permit”-functie kan een gebruiker deze stappen omzeilen door een off-chain handtekening te geven, wat niet alleen handig is, maar ook gas fees bespaart.
Maar zoals vaak gebeurt met nieuwe technologie, weten oplichters hier ook misbruik van te maken. Fraudeurs kunnen gebruikers misleiden om een kwaadaardige handtekening te plaatsen, waardoor ze feitelijk toestemming geven om hun tokens te laten stelen, zonder dat ze het direct doorhebben. Deze nieuwe vorm van phishing richt zich vooral op mensen die zich niet volledig bewust zijn van de risico’s die komen kijken bij het ondertekenen van off-chain transacties.
Scam Sniffer meldde dat deze phishing-scams met de ERC-20 permit-optie momenteel het meest voorkomende type phishing-aanvallen zijn in de cryptowereld. Vaak worden slachtoffers gelokt via nagemaakte socialemedia-accounts die zich voordoen als legitieme cryptoprojecten.
Het beveiligingsbedrijf heeft eerder ook de beruchte Inferno Drainer-groep ontmaskerd, die duizenden slachtoffers maakte door phishingwebsites te creëren die populaire cryptoprojecten nabootsen. Deze websites verleiden gebruikers tot het ondertekenen van frauduleuze off-chain transacties.
Uit cijfers van Scam Sniffer blijkt dat alleen al in 2023 meer dan $300 miljoen is gestolen via phishing-scams, wat de noodzaak benadrukt voor extra voorzichtigheid in de cryptowereld.
Het bericht Investeerder verliest $35 miljoen aan crypto door phishing-scam verscheen eerst op CryptoBenelux.